企業 HTTPS 代理下 npm install 出現 UNABLE_TO_VERIFY_LEAF_SIGNATURE 怎麼辦？

向 IT 索取根 CA 的 PEM 檔，在 PowerShell 或 shell 中設定 NODE_EXTRA_CA_CERTS 指向該檔；同時設定 HTTPS_PROXY／HTTP_PROXY。僅在無法取得 CA 時暫時關閉 strict-ssl，並記錄稽核例外。

WSL2 裡安裝的 OpenClaw CLI 存取不到 Windows 上已建立的 SSH 轉發連接埠？

WSL2 與 Windows 有獨立網路命名空間；在 WSL2 內應存取 Windows 主機側 IP（可用 ip route 查看 default via 後的閘道，或在新版 WSL 使用 localhost 轉發能力），或在 WSL2 內單獨建立 ssh -L，而不是假設 127.0.0.1 與 Win32 完全等同。

Node 22 與 20 LTS 應選哪一個跑 OpenClaw 周邊工具？

以專案與上游文件宣告的 engines 為準；無宣告時優先 20 LTS，降低與企業鏡像、舊版 native 模組的摩擦。若 macOS 閘道側已固定 Node 22，用戶端僅作 CLI 呼叫時通常可跟跑 20，但若出現 ABI／特性錯誤再對齊主版本。

部署指南 2026-03-30 約 13 分鐘

2026年 OpenClaw Windows 與 Linux 安裝及遠端 macOS 閘道聯通：PowerShell 與 WSL2 雙路徑、企業 HTTPS 代理與 Node 版本的 Runbook（可複現排錯+FAQ）

在 Windows 筆電或 Linux 工作站上裝 CLI、拉相依，而 OpenClaw 閘道跑在遠端 macOS 實體節點（含租賃機）時，最容易卡在 企業 HTTPS 檢查代理、WSL2 與 Win32 回環不一致，以及 Node 主版本與上游宣告不對齊。本文給出 PowerShell 與 WSL2 雙路徑 的 決策矩陣、七步 Runbook、三條可引用參數，以及依症狀拆解的 FAQ。

2026年 OpenClaw Windows Linux WSL2 企業代理與遠端 macOS 閘道開發環境

1. 前言：用戶端在 Win／Linux，閘道在 Mac

OpenClaw 的長期執行面通常放在 macOS（實體機或租賃節點）：便於與 Apple 生態工具、launchd 守護與本機鑰匙圈治理對齊。工程師的日常操作機卻經常是 Windows 或 Linux——於是出現「在 A 系統裝 CLI、在 B 系統跑閘道」的分工。本文聚焦 A 側：如何以 PowerShell 與 WSL2 兩條路徑完成安裝與聯調，並在 企業 HTTPS 代理 下維持 npm、git 與 TLS 一致可複現。

文中閘道連接埠以 8787 為範例，請以你的實際設定為準。多區域節點與延遲取捨可延伸閱讀 2026年全球開發者節點選擇矩陣：如何針對 Apple ID 區域合規與 sub-20ms 延遲佈局遠端 Mac？；若關注 OpenClaw 長時間常駐與穩定性，可參考 2026年OpenClaw長時間運行：Mac mini 穩定性優化全指南。

2. 痛點拆解：三類「裝得上、連不通」

TLS 在企業代理處被「換證」。 Node、git、curl 各自攜帶的信任庫不一致；未注入企業根 CA 時，表現為隨機性的 UNABLE_TO_VERIFY_LEAF_SIGNATURE 或 self signed certificate，且同一台機器上「瀏覽器能開、CLI 不能拉」。
WSL2 與 Windows 的 localhost 不是同一張網。 在 PowerShell 裡 ssh -L 18787:127.0.0.1:8787 成功後，若在 WSL 的 bash 裡仍存取 127.0.0.1:18787，可能指向 WSL 自身回環而非 Win32 側轉發，因而出現「一邊通、一邊拒連」的假故障。
Node 主版本漂移導致指令稿或 native 相依靜默失敗。 團隊若同時在 macOS 26（Tahoe）類環境推進 Node 22，而 Windows 仍停留在 18／20，易出現 engines 警告被忽略、postinstall 僅在一端失敗的情況；需要把「用戶端 Node」與「閘道所在機 Node」分開建檔。

3. PowerShell／WSL2／Linux 決策矩陣

先選「你在哪個 shell 裡執行安裝與除錯」，再統一代理與憑證；不要在 PowerShell 配好代理後，誤以為 WSL2 會自動繼承全部情境（部分環境變數需在 ~/.bashrc 或 /etc/environment 再寫一份）。

維度	Windows PowerShell	WSL2（Ubuntu 等）	Linux 本機
適合情境	Win32 原生工具、公司 AD 指令稿、與檔案總管聯動	與生產一致的 bash、Makefile、linux 路徑假設	純 Linux 工作站預設路徑
代理設定入口	系統代理＋目前使用者環境變數；可選 `npm config set proxy`	shell profile；指向 Windows 主機上的企業代理 IP:連接埠時常需明寫主機位址	`/etc/environment` 或 CI 映像建置參數
憑證信任	`NODE_EXTRA_CA_CERTS` 指向 PEM；Git for Windows 獨立 trust store	將 PEM 拷入 WSL 檔案系統再匯出路徑；避免僅用 Win 路徑字串	`update-ca-certificates` 或依安全基線分發
SSH 轉發與回環	OpenSSH 用戶端；本機連接埠在 Win32 回環	建議在 WSL 內單獨建隧道，或查預設路由閘道以存取 Win 主機連接埠	標準 `ssh -L`，與文件範例一致
常見坑	執行原則、長路徑、防毒即時掃描拖慢 npm	跨 OS 檔案系統效能（`/mnt/c`）與回環混淆	發行版 glibc 與預編譯二進位不相符

4. Node 20 LTS 與 22 選型表

與 macOS 閘道側 Node 衝突時，優先以閘道所在儲存庫的 engines 欄位與 CI 矩陣為準；用戶端僅呼叫 HTTP API 時，版本約束通常弱於「在同一儲存庫跑 dev server」的情境。

選項	適用	風險
Node 20 LTS	企業鏡像預設同步、長期支援視窗內安全性修補可預期	若上游已使用僅 22+ 可用的執行時 API，需升級
Node 22	與新版 macOS 開發機對齊、減少「我本機能跑」差異	舊版 node-gyp、企業私服上缺對應預編譯包時編譯失敗率上升
fnm／nvm per-project	monorepo 多包 engines 不一致時的最低摩擦方案	CI 與本機須同一策略，否則會「本機切換了、流水線沒切換」

5. 七步 Runbook：代理、安裝、隧道、驗收

記錄基線。 在選定環境執行 node -v、npm -v、git --version，並匯出目前工作階段中與代理相關的環境變數（注意遮罩密碼）。

設定企業 HTTPS 代理。 設定 HTTPS_PROXY、HTTP_PROXY；對直連內網 registry、Mac 跳板與 localhost 追加 NO_PROXY 例外。PowerShell 範例：

$env:HTTPS_PROXY="http://proxy.corp.local:8080"
$env:HTTP_PROXY="http://proxy.corp.local:8080"
$env:NO_PROXY="localhost,127.0.0.1,.corp.local,mac-jump.corp.local"

掛載企業根 CA（Node）。 將 IT 提供的 PEM 存到本機可讀路徑，設定 NODE_EXTRA_CA_CERTS=C:\certs\corp-root.pem（WSL 內改為 Linux 路徑）。以 curl -v https://registry.npmjs.org 與 npm ping 做對照驗收。
選擇安裝路徑並執行官方安裝步驟。 在 PowerShell 與 WSL2 中二選一為主，避免同一儲存庫在兩側各裝一份全域 CLI 卻版本不同。安裝指令以 OpenClaw 目前文件為準（npm、pnpm、獨立安裝包等）。
建立到遠端 Mac 上閘道的 SSH 本機轉發。 在你實際開瀏覽器或 CLI 的那個環境裡執行：
```
ssh -N -L 18787:127.0.0.1:8787 user@mac-host `
  -o ServerAliveInterval=60 `
  -o ServerAliveCountMax=3
```
若閘道僅監聽 127.0.0.1，遠端目標必須寫 Mac 視角下的回環位址，而不是你筆電的 IP。
同環境驗收 HTTP(S)。 在建立隧道的同一 shell 生態中執行 curl -v http://127.0.0.1:18787/（路徑依 health 文件替換）。若 PowerShell 通而 WSL 不通，優先懷疑回環與轉發所在 OS，而非 Mac 閘道。
固化文件與回滾。 將生效的環境變數寫入團隊 Runbook（或私有 Chef／Ansible），並記錄「關閉代理後如何一鍵還原」，避免除錯時與環境漂移糾纏。

6. 可引用參數與清單

SSH 保活： ServerAliveInterval=60 秒、ServerAliveCountMax=3 為企業 Wi‑Fi 情境的常見起點。
本機轉發連接埠範例： 18787 → 8787，便於區分「筆電側」與「Mac 閘道側」連接埠號。
功耗語境（TCO）： Mac mini（M 系列）輕載待機常約 4W 量級，適合長期掛閘道與 sshd——僅為數量級敘事，非實驗室讀表。

7. 可複現排錯與 FAQ

npm 出現 407 Proxy Authentication Required？

確認代理 URL 是否含認證段，或是否需在單獨設定檔提供 npm config set proxy／https-proxy；部分企業要求 NTLM，需在文件中釐清支援的用戶端與輔助工具。

git clone 慢但瀏覽器下載快？

檢查 Git 是否走 HTTP(S)_PROXY；對 SSH 協定的 Git 遠端，代理與連接埠完全不同，需要 ProxyCommand 或改用 HTTPS 遠端。

閘道健康檢查在 Mac 上 OK，隧道後 502？

核對轉發三元組：本機連接埠、遠端 127.0.0.1、遠端連接埠；再以 ssh -v 觀察通道是否建立。若閘道對 Host 標頭敏感，嘗試明確帶入 curl -H "Host: localhost" 做 A／B。

是否應把閘道改成監聽 0.0.0.0 以省事？

在未做防火牆與身分收斂前，擴大綁定面通常得不償失；優先維持 127.0.0.1＋SSH／Tailscale 等受控入口。入口模式對照可延伸閱讀站內同系列「遠端閘道、SSH 本機轉發與 Tailscale Serve」文章。

8. 為何閘道更適合落在 Mac mini 上

當你在 Windows 或 Linux 上完成 CLI 安裝與聯調後，長期上線的閘道仍建議跑在 macOS 實體節點：Apple Silicon 統一記憶體與約 4W 量級的輕載待機，使 7×24 成本可控；Mac mini 靜音、體積小，比塔式 PC 更適合機櫃或辦公角落。原生 Unix 工具鏈、成熟的 sshd 與 launchd，也使「只開回環＋SSH 轉發」的最小暴露策略較易落地。

從安全面看，Gatekeeper、SIP 與 FileVault 疊加，惡意軟體面相對多數泛用 Windows 工作站預設設定更易收斂；結合企業代理僅作用在「用戶端拉包」路徑、閘道留在受控機房網，職責分離更清晰。

若你希望把本文 Runbook 中的遠端閘道跑在穩定、低噪音、長期綜合成本可控的 Apple Silicon 上，Mac mini M4 是目前極具性價比的切入點；現在即可透過 ZoneMac 了解遠端實體節點方案，並依七步清單完成從代理到隧道的驗收。

遠端 Mac 節點

以實體 Mac mini 承載 OpenClaw 閘道

ZoneMac 提供 Apple Silicon 實體容量，sshd 與 launchd 常駐；本文隧道與代理 Runbook 可直接對齊你的團隊環境。

低功耗常駐 Win／Linux 聯調友善多區域可選